常见的功能点的测试思路: 1. 新增 或 创建(Add or Create) 1) 操作后的页面指向 2)操作后所有绑定此数据源的控件数据更新,常见的排列顺序为栈Stack类型,后进先出 3) 取消操作是否成功 2.编辑 或 更新 (Edit or Update) 1) 操作后的页面指向 2) 操作后所有绑定此数据源的控件数据更新 3) 取消操作是否成功 4)编辑界面是否读取出正确、全部的数据源 5) 记录在工作流中的编辑功能可用性 6)操作成功的生效时刻及生效范围 3.删除 或 移除 (Delete or Remove) 1) 操作后的页面指向 2) 操作后所有绑定此数据源的控件数据更新 (如下就是删除后,Tab数据没有立即刷新的bug) 3) 取消操作是否成功 4) 记录在工作流中的编辑功能可用性 5) 操作成功的生效时刻及生效范围(比如:购物网站,店家商品下架后,并没有同时删除买家的购买记录) 4.选中 或 全选 (Check or Check all) 1) 多页面中,全选对所有页面是否有效 2) 支持多页面的个别选中,且返回查看时保留选中状态 3) 界面上的按钮的操作范围是否均受选中功能控制 4) 前一页选中状态,在翻页后,应保留原来状态 5) 先全选-》移除某个单选-》全选按钮是否移除选中状态 常见的web安全问题有: SQL注入、跨站点脚本攻击、跨站点伪造请求、目录遍历、邮件表头注入、页面错误信息等。 对于手动安全测试来说,一般常用的有三点: 1、URL有参数的,手动修改参数,看是否得到其他用户的信息和相关页面; 2、在登录输入框的地方输入‘ or 1=1--或 “ or 1=1--等看是否有SQL注入; 3、在注重SQL注入的同时,一般在有输入框的地方输入 对于自动化安全测试来说: 测试组目前使用的安全测试工具为IBM的AppScan(当然,是破解版,34上已经放过该工具的安装包) 1、在使用之前务必确认自己绑定的Host; 2、配置URL、开发环境、错误显示类型; 3、结果保存后可根据提示的问题类型和解决建议进行分析。 Web安全测试通常要考虑的测试点: 1、输入的数据没有进行有效的控制和验证 2、用户名和密码 3、直接输入需要权限的网页地址可以访问 4、认证和会话数据作为GET的一部分来发送 5、隐藏域与CGI参数 6、上传文件没有限制 7、把数据验证寄希望于客户端的验证 8、跨站脚本(XSS) 9、注入式漏洞(SQL注入) 10、不恰当的异常处理 11、不安全的存储 12、不安全的配置管理 13、传输中的密码没有加密 14、弱密码,默认密码 15、缓冲区溢出 16、拒绝服务 SQL注入: 所谓SQL注入,就是通过把SQL命令插入到Web表单递交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令,比如先前的很多影视网站泄露VIP会员密码大多就是通过WEB表单递交查询字符暴出的,这类表单特别容易受到SQL注入式攻击.( (select * form 表 where id=1 or 1 1 or 1是输入框输入的 这样会导致满足 id=1 或 1 的数据都查出来 而所有的数据都满足 1 这样就查出来了很多不该被查出来的数据 这就是sql注入)
